DSGVO-Bußgelder
So viel mussten Unternehmen bei Datenschutz-Verstößen zahlen

Ist die Schonzeit vorbei? Greifen Datenschutzbehörden künftig härter durch bei Verstößen gegen die DSGVO? Aktuelle Fälle zeigen, auf welche Bußgelder sich Unternehmen bei Vergehen gefasst machen müssen.

, von

Vorsicht! DSGVO-Verstöße können teuer werden. Einige Unternehmen mussten fünfstellige Bußgelder zahlen.
Vorsicht! DSGVO-Verstöße können teuer werden. Einige Unternehmen mussten fünfstellige Bußgelder zahlen.
© onemorenametoremember / photocase.de

Läuft doch alles bestens beim Datenschutz – diesen Eindruck konnte man bis vor Kurzem fast gewinnen. Denn von den anfangs befürchteten Strafen war kaum etwas zu hören, nachdem die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten war. Doch die zuständigen Behörden scheinen die Zügel anzuziehen.

„Bußgelder werden höher ausfallen“

So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: „2019 wird das Jahr der Kontrollen.“ Er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“

Auch im Tätigkeitsbericht des LfDI fallen deutliche Worte: „Wegen der gestiegenen Anzahl von Beschwerden ist jedoch insgesamt mit einem Anstieg der Bußgeldverfahren zu rechnen. Sofern Bußgelder verhängt werden müssen, werden diese in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war.“

Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag

Was Lücken im Datenschutz anrichten können, bekam nun ein kleines Hamburger Unternehmen zu spüren. 5000 Euro Bußgeld soll die Kolibri Image zahlen. Warum? Das Unternehmen schildert den Fall auf seiner Webseite: Demnach habe es mit einem Paketzusteller zusammengearbeitet, der nicht bereit gewesen sei, einen Vertrag zur Auftragsverarbeitung abzuschließen. Kolibri Image habe sich zunächst an die deutsche Niederlassung in Hessen und dann an den Hauptsitz in Madrid gewandt. Ohne Erfolg.

Schließlich habe die Firma beim Hessischen Beauftragten für den Datenschutz um Rat gefragt. Die Behörde habe Kolibri auf die Pflicht hingewiesen, den Vertrag zu erstellen (DSGVO Artikel 28). Für das kleine Unternehmen ein zu kompliziertes Unterfangen. Es habe sich dazu entschlossen, nicht länger mit dem Paketzusteller zusammenzuarbeiten. Die hessische Behörde habe es darüber nicht informiert. Diese reichte daraufhin die Akte an die zuständigen Hamburger Kollegen weiter. Und so flatterte schließlich der Bußgeldbescheid ins Haus.

Bußgeld wegen unverschlüsselt gespeicherter Passwörter

Kolibri Images ist kein Einzelfall. Das bundesweit erste Bußgeld brummte der baden-württembergische Datenschutzbeauftragte Brink dem Onlineportal knuddels.de im November 2018 auf. Die Firma musste 20.000 Euro zahlen. knuddels.de war gehackt worden. Das kann zwar passieren, doch die Firma hatte Passwörter von Nutzern unverschlüsselt gespeichert. Ein Verstoß gegen die DSGVO (Artikel 32). Das Bußgeld fiel noch relativ milde aus. Brink rechnete dem Unternehmen an, dass es sich sofort an die Behörde wandte, Betroffene informierte und sich kooperativ zeigte.

Höher fiel die Strafe für ein anderes Unternehmen in Baden-Württemberg aus. Es musste 80.000 Euro zahlen. Laut „Handelsblatt“ die bislang höchste Einzelstrafe in Deutschland. Das Unternehmen hatte Gesundheitsdaten nicht ausreichend gesichert. Sie wurden gestohlen und im Internet veröffentlicht.

Behörden verhängten 41 Bußgelder

Es traf nicht nur diese drei Firmen. Wie das „Handelsblatt“ bei einer Umfrage unter den Datenschutzbeauftragten der Länder herausfand, seien in Deutschland bereits in 41 Fällen Bußgelder verhängt worden, die meisten davon in Nordrhein-Westfalen (33). Die Verstöße waren ganz unterschiedlicher Natur. Laut „Handelsblatt“ sei es etwa um unzulässige Werbemails, aufgenommene Telefonate und offene E-Mail-Verteiler gegangen.

Lesen Sie hier mehr zum Thema „Cookie-Hinweis“.

Millionen-Strafe für Google

Europaweit wurden nach einem Bericht der Anwaltskanzlei DLA Piper 91 Bußgelder wegen DSGVO-Verstößen verhängt. In Frankreich baten die Behörden etwa Google zu Kasse. Wie Ende Januar bekannt wurde, soll das Internet-Unternehmen dort wegen mehrerer Verstöße gegen die DSGVO 50 Millionen Euro zahlen. Die französischen Behörden monieren unter anderem das Zustimmungsverfahren für personalisierte Werbung. Es sei ungültig, weil Nutzer nicht ausreichend informiert würden. Google legte gegen die Strafe Widerspruch ein.

Das erste DSGVO-Bußgeld überhaupt musste im Juli 2018 ein Krankenhaus in Portugal zahlen. Es hatte Mitarbeitern unbefugten Zugang zu Patientenakten gewährt. Eigentlich durften nur Ärzte die Akten einsehen. In dem Krankenhaus konnten jedoch auch andere Mitarbeiter aus dem technischen Bereich auf sie zugreifen.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

Für Unternehmer gilt also nach wie vor, so gründlich wie möglich zu sein, wenn es um den Datenschutz geht. Worauf sie besonders achten müssen und welche Fehler sie bei der Umsetzung der DSGVO vermeiden sollten – all das finden sie hier: Datenschutzgrundverordnung.

Läuft doch alles bestens beim Datenschutz – diesen Eindruck konnte man bis vor Kurzem fast gewinnen. Denn von den anfangs befürchteten Strafen war kaum etwas zu hören, nachdem die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten war. Doch die zuständigen Behörden scheinen die Zügel anzuziehen. "Bußgelder werden höher ausfallen" So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: "2019 wird das Jahr der Kontrollen." Er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: "Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird." Auch im Tätigkeitsbericht des LfDI fallen deutliche Worte: "Wegen der gestiegenen Anzahl von Beschwerden ist jedoch insgesamt mit einem Anstieg der Bußgeldverfahren zu rechnen. Sofern Bußgelder verhängt werden müssen, werden diese in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war." Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag Was Lücken im Datenschutz anrichten können, bekam nun ein kleines Hamburger Unternehmen zu spüren. 5000 Euro Bußgeld soll die Kolibri Image zahlen. Warum? Das Unternehmen schildert den Fall auf seiner Webseite: Demnach habe es mit einem Paketzusteller zusammengearbeitet, der nicht bereit gewesen sei, einen Vertrag zur Auftragsverarbeitung abzuschließen. Kolibri Image habe sich zunächst an die deutsche Niederlassung in Hessen und dann an den Hauptsitz in Madrid gewandt. Ohne Erfolg. Schließlich habe die Firma beim Hessischen Beauftragten für den Datenschutz um Rat gefragt. Die Behörde habe Kolibri auf die Pflicht hingewiesen, den Vertrag zu erstellen (DSGVO Artikel 28). Für das kleine Unternehmen ein zu kompliziertes Unterfangen. Es habe sich dazu entschlossen, nicht länger mit dem Paketzusteller zusammenzuarbeiten. Die hessische Behörde habe es darüber nicht informiert. Diese reichte daraufhin die Akte an die zuständigen Hamburger Kollegen weiter. Und so flatterte schließlich der Bußgeldbescheid ins Haus. Bußgeld wegen unverschlüsselt gespeicherter Passwörter Kolibri Images ist kein Einzelfall. Das bundesweit erste Bußgeld brummte der baden-württembergische Datenschutzbeauftragte Brink dem Onlineportal knuddels.de im November 2018 auf. Die Firma musste 20.000 Euro zahlen. knuddels.de war gehackt worden. Das kann zwar passieren, doch die Firma hatte Passwörter von Nutzern unverschlüsselt gespeichert. Ein Verstoß gegen die DSGVO (Artikel 32). Das Bußgeld fiel noch relativ milde aus. Brink rechnete dem Unternehmen an, dass es sich sofort an die Behörde wandte, Betroffene informierte und sich kooperativ zeigte. Höher fiel die Strafe für ein anderes Unternehmen in Baden-Württemberg aus. Es musste 80.000 Euro zahlen. Laut "Handelsblatt" die bislang höchste Einzelstrafe in Deutschland. Das Unternehmen hatte Gesundheitsdaten nicht ausreichend gesichert. Sie wurden gestohlen und im Internet veröffentlicht. Behörden verhängten 41 Bußgelder Es traf nicht nur diese drei Firmen. Wie das "Handelsblatt" bei einer Umfrage unter den Datenschutzbeauftragten der Länder herausfand, seien in Deutschland bereits in 41 Fällen Bußgelder verhängt worden, die meisten davon in Nordrhein-Westfalen (33). Die Verstöße waren ganz unterschiedlicher Natur. Laut "Handelsblatt" sei es etwa um unzulässige Werbemails, aufgenommene Telefonate und offene E-Mail-Verteiler gegangen. Lesen Sie hier mehr zum Thema "Cookie-Hinweis". Millionen-Strafe für Google Europaweit wurden nach einem Bericht der Anwaltskanzlei DLA Piper 91 Bußgelder wegen DSGVO-Verstößen verhängt. In Frankreich baten die Behörden etwa Google zu Kasse. Wie Ende Januar bekannt wurde, soll das Internet-Unternehmen dort wegen mehrerer Verstöße gegen die DSGVO 50 Millionen Euro zahlen. Die französischen Behörden monieren unter anderem das Zustimmungsverfahren für personalisierte Werbung. Es sei ungültig, weil Nutzer nicht ausreichend informiert würden. Google legte gegen die Strafe Widerspruch ein. Das erste DSGVO-Bußgeld überhaupt musste im Juli 2018 ein Krankenhaus in Portugal zahlen. Es hatte Mitarbeitern unbefugten Zugang zu Patientenakten gewährt. Eigentlich durften nur Ärzte die Akten einsehen. In dem Krankenhaus konnten jedoch auch andere Mitarbeiter aus dem technischen Bereich auf sie zugreifen. Für Unternehmer gilt also nach wie vor, so gründlich wie möglich zu sein, wenn es um den Datenschutz geht. Worauf sie besonders achten müssen und welche Fehler sie bei der Umsetzung der DSGVO vermeiden sollten – all das finden sie hier: Datenschutzgrundverordnung.